Qué es la Ley 81 de 2019
La Ley 81 de 2019 es la legislación panameña sobre protección de datos personales. Establece los principios y obligaciones para el tratamiento de datos personales en Panamá, reconoce los derechos de las personas sobre sus propios datos, y designa a una autoridad de control encargada de hacerla cumplir. Entró en vigencia escalonadamente y, junto con su reglamentación posterior, conforma el marco que toda empresa que maneja datos de personas debe respetar.
Para quien hace marketing, la traducción es directa: si su empresa recolecta correos, teléfonos, nombres o cualquier dato de personas para enviarles comunicaciones, está tratando datos personales, y eso cae bajo la Ley 81. No importa si la base es de cinco mil contactos o de medio millón. No importa si envía un boletín mensual o campañas diarias. Si hay datos de personas identificables de por medio, hay obligaciones legales.
Conviene desmontar un malentendido común desde el inicio: la Ley 81 no prohíbe el marketing ni hace imposible enviar comunicaciones. Lo que hace es poner reglas sobre cómo se obtienen y usan los datos. Una operación de marketing bien montada cumple la ley casi sin esfuerzo adicional, porque las buenas prácticas de marketing y las exigencias de la ley apuntan en la misma dirección: tratar a las personas y sus datos con respeto.
- Qué regula: el tratamiento de datos personales en Panamá, incluyendo los que se usan para marketing.
- A quién aplica: a toda empresa que recolecte y use datos de personas, sin importar el tamaño de la base.
- Exige: consentimiento informado, respeto de los derechos del titular, finalidad y retención justificadas, seguridad de los datos.
- Quién la hace cumplir: la ANTAI, que recibe denuncias, investiga y puede sancionar.
- La buena noticia: cumplirla y enviar bien técnicamente se refuerzan entre sí. No son cargas separadas.
A quién aplica
La Ley 81 aplica al tratamiento de datos personales de personas que están en Panamá, realizado por responsables y encargados, con algunas precisiones sobre ámbito territorial que un abogado puede detallar mejor. Para fines prácticos del marketing, lo relevante es esto: si su empresa opera en Panamá y se comunica con clientes o prospectos en Panamá, aplica.
Esto incluye a empresas de todos los tamaños. Es un error frecuente pensar que la ley es problema solo de los bancos y las grandes corporaciones. Una pyme con una base de tres mil contactos que envía promociones por correo está tratando datos personales y tiene obligaciones, aunque proporcionalmente menores en complejidad que las de un banco. El tamaño cambia la escala de las obligaciones, no su existencia.
También aplica sin importar el canal. Email, SMS, WhatsApp, llamadas de voz: todos implican tratar datos personales (como mínimo, un correo o un número telefónico, que son datos personales en sí mismos). Las obligaciones de consentimiento y derechos del titular son transversales a todos los canales, aunque la forma operativa de cumplirlas varíe entre uno y otro.
Los principios clave que rigen todo
La ley se estructura alrededor de varios principios que funcionan como guía general. Quien entiende estos principios entiende el espíritu de la norma, y eso ayuda más que memorizar artículos. Estos son los que más impactan al marketing.
Consentimiento
El tratamiento de datos personales requiere, como regla general, el consentimiento del titular. Para comunicaciones comerciales, ese consentimiento debe ser informado: la persona debe saber qué datos se recolectan, quién los recolecta, para qué, y cómo ejercer sus derechos. El consentimiento es la base sobre la que se construye todo lo demás.
Finalidad
Los datos se recolectan para fines determinados, explícitos y legítimos, y no deben usarse después para fines incompatibles con esos. Si una persona dio su correo para recibir una factura, usar ese correo para mandarle promociones no relacionadas puede exceder la finalidad original. La finalidad para la que se pide el dato importa y limita el uso posterior.
Proporcionalidad y minimización
Se deben tratar solo los datos necesarios para la finalidad declarada. Pedir la cédula, la dirección y la fecha de nacimiento de alguien que solo quiere suscribirse a un boletín es desproporcionado. Pedir el correo y, a lo sumo, el nombre, es proporcional. Menos datos, bien usados, es mejor que muchos datos acumulados sin propósito claro.
Calidad y veracidad
Los datos deben ser exactos y mantenerse actualizados. Esto conecta directamente con la higiene de base que recomendamos por razones técnicas: una base limpia no es solo mejor para la entregabilidad, también es una obligación de calidad de datos.
Seguridad y confidencialidad
Quien trata datos debe protegerlos con medidas de seguridad adecuadas contra acceso no autorizado, pérdida o alteración. Para una operación de marketing, esto significa plataformas seguras, control de quién accede a las bases, y cuidado con cómo se transfieren y almacenan los datos.
Retención limitada
Los datos no deben conservarse más allá del tiempo necesario para la finalidad que justificó su recolección. Mantener en la base a contactos que llevan años sin interacción, "por si acaso", no solo daña las métricas de envío: tensiona el principio de retención limitada.
Los derechos del titular
La ley reconoce a las personas una serie de derechos sobre sus propios datos, conocidos en conjunto por la sigla que forman. Una empresa que trata datos debe tener mecanismos para que las personas puedan ejercerlos, y debe atenderlos en los plazos que la norma establece.
Acceso
La persona puede solicitar saber qué datos suyos se tratan, con qué finalidad y a quién se han comunicado.
Rectificación
La persona puede pedir que se corrijan datos suyos que sean inexactos o estén incompletos.
Cancelación / supresión
La persona puede solicitar que se eliminen sus datos cuando ya no sean necesarios o retire su consentimiento.
Oposición
La persona puede oponerse a que sus datos se traten para determinados fines, como el marketing directo.
Portabilidad
La persona puede solicitar sus datos en un formato que le permita transferirlos a otro responsable.
Baja sencilla
Para marketing, el derecho de oposición se materializa en una baja fácil y operativa en cada comunicación enviada.
Para una operación de marketing, el derecho que más se ejerce en el día a día es la oposición, que se traduce en la baja. Cada correo debe tener una forma clara y funcional de darse de baja; cada SMS comercial, una palabra clave de baja; cada flujo de WhatsApp, una salida. Y esas bajas deben procesarse de inmediato, no "en el próximo envío". Una baja que no se respeta es de los errores que más rápido escalan a denuncia.
El consentimiento, bien hecho
Si hay un solo concepto que dominar de toda la ley para fines de marketing, es el consentimiento. Casi todos los problemas de cumplimiento nacen de un consentimiento mal obtenido, mal documentado o inexistente. Hacerlo bien desde el principio resuelve la mayor parte del cumplimiento.
Un consentimiento sólido tiene varias características. Es informado: la persona sabe quién recolecta sus datos, para qué los va a usar, y cómo puede ejercer sus derechos, idealmente con un enlace a la política de privacidad en el momento de la captura. Es específico: si va a usar los datos para varios fines o canales, conviene que el consentimiento lo refleje, no un "acepto todo" genérico que después no cubre lo que realmente hace. Es libre: la persona elige, no se le fuerza ni se le condiciona innecesariamente. Y es documentado: queda registro de cuándo, cómo y para qué se obtuvo, de forma que se pueda probar si alguien lo cuestiona.
Esa última característica, la documentación, es la que más empresas descuidan. Tener consentimiento pero no poder probarlo es, en la práctica, casi tan malo como no tenerlo, porque ante una denuncia la carga de demostrar que el tratamiento es legítimo recae sobre quien trata los datos. Un registro de consentimiento debe poder responder: ¿cuándo dio esta persona su consentimiento?, ¿a través de qué mecanismo?, ¿qué texto aceptó?, ¿para qué canales y finalidades?
El consentimiento por WhatsApp merece atención especial porque se suma a las reglas de Meta. Un consentimiento genérico de "acepto recibir comunicaciones" puede no ser suficiente para WhatsApp si no especificó ese canal. Y aunque legalmente lo fuera, Meta exige opt-in específico, así que conviene capturarlo de forma explícita por canal. Lo cubrimos en el artículo sobre por qué tantas empresas usan WhatsApp mal.
Responsable y encargado: quién responde por qué
La ley distingue dos roles que conviene entender porque definen quién es responsable de qué, sobre todo cuando se trabaja con un proveedor de marketing.
El responsable del tratamiento es quien decide para qué y cómo se usan los datos. Normalmente es la empresa dueña de la base de clientes: ella decide qué campañas enviar, a quién, con qué finalidad. El responsable es el que tiene la relación con el titular y el que responde principalmente ante él y ante la autoridad.
El encargado del tratamiento es quien trata los datos por cuenta del responsable. Un proveedor de email marketing, por ejemplo, trata la base del cliente para ejecutar los envíos que el cliente le pide, pero no decide por su cuenta qué hacer con esos datos. El encargado tiene obligaciones propias de seguridad y confidencialidad, y actúa según las instrucciones del responsable.
Esta distinción importa en la práctica porque la relación entre responsable y encargado debe regularse por un acuerdo escrito que defina qué puede hacer el encargado con los datos, qué medidas de seguridad aplica, cuánto los retiene y cómo los devuelve o destruye al terminar la relación. Cuando una empresa contrata a un proveedor de comunicaciones serio, ese acuerdo es parte del contrato. Cuando contrata a uno que no lo ofrece, debería preguntarse por qué.
En nuestra operación, el cliente es siempre el responsable y nosotros el encargado. La base es del cliente, las decisiones de campaña son del cliente, y nuestro rol está acotado por contrato. Al terminar la relación, la base se devuelve y se elimina de nuestros sistemas. Lo explicamos en detalle en nuestra página de cómo trabajamos.
ANTAI y las consecuencias del incumplimiento
La autoridad encargada de hacer cumplir la Ley 81 es la ANTAI, la Autoridad Nacional de Transparencia y Acceso a la Información. Entre sus funciones está recibir denuncias de titulares que consideren que sus datos fueron tratados indebidamente, investigar esas denuncias, y aplicar las sanciones que correspondan según la gravedad.
El camino típico de un problema empieza con un titular molesto: alguien que recibe comunicaciones que no pidió, o que pidió darse de baja y siguió recibiendo, o que descubre que sus datos se usaron para algo que no autorizó. Esa persona puede presentar una denuncia. A partir de ahí, la autoridad puede requerir información, investigar y, si encuentra incumplimiento, sancionar.
Más allá de la sanción formal, hay una consecuencia que las empresas subestiman y que llega mucho antes: la reputación de envío. El tratamiento sin consentimiento adecuado casi siempre coincide con tasas altas de queja, porque enviar a quien no quiere recibir genera reportes de spam. Esos reportes destruyen la reputación del dominio y la entregabilidad mucho antes de que una denuncia ante ANTAI siga su curso. En otras palabras: incumplir la ley suele salir caro técnicamente antes de salir caro legalmente. Es otra razón por la que cumplir y enviar bien van juntos.
Checklist práctico de cumplimiento para marketing
Aterrizado a acciones concretas, esto es lo que una operación de marketing debería tener resuelto para estar en línea con la Ley 81. No es exhaustivo legalmente, pero cubre lo que más importa en el día a día.
- Consentimiento documentado en el momento de la captura, con registro de cuándo, cómo y para qué se obtuvo.
- Política de privacidad accesible y enlazada en los puntos de captura de datos, en lenguaje entendible.
- Finalidad clara declarada al pedir los datos, y uso consistente con esa finalidad.
- Baja operativa en cada comunicación, procesada de inmediato y de forma permanente.
- Mecanismo para ejercer derechos (acceso, rectificación, supresión, oposición) con un canal de contacto claro.
- Higiene de base regular: datos actualizados, supresión de inactivos, eliminación de los que ya no tienen finalidad.
- Acuerdo escrito con proveedores que actúen como encargados, definiendo seguridad, retención y borrado.
- Medidas de seguridad sobre las bases: control de acceso, plataformas confiables, cuidado en transferencias.
- Retención justificada: no conservar datos indefinidamente sin propósito vigente.
- Registro de actividades de tratamiento, para poder demostrar cumplimiento si se requiere.
Cómo se cruza la Ley 81 con los requisitos de Gmail y Yahoo
Una pregunta que surge seguido: ¿la Ley 81 y los requisitos técnicos de Gmail y Yahoo son lo mismo? No, son cosas distintas que conviven, y conviene no confundirlas.
Los requisitos de Gmail y Yahoo (y Microsoft) son técnicos y privados: los imponen empresas para proteger a sus usuarios del spam, y se cumplen con autenticación, baja fácil y buena reputación. Si no los cumple, sus correos no entregan, pero ninguna autoridad lo sanciona. Lo cubrimos a fondo en la guía sobre cómo cumplir los requisitos de Gmail y Yahoo desde Panamá.
La Ley 81 es legal y pública: la impone el Estado panameño para proteger los derechos de las personas sobre sus datos, y se cumple con consentimiento, respeto de derechos y buen tratamiento. Si no la cumple, puede enfrentar denuncias y sanciones de la ANTAI, independientemente de si sus correos entregan o no.
Lo interesante es cuánto se solapan en la práctica. La baja fácil que exige Gmail es también la forma de respetar el derecho de oposición de la Ley 81. La base limpia que mejora la entregabilidad es también la calidad de datos que pide la ley. El consentimiento que mantiene baja la tasa de queja es el mismo que exige la norma. Hacer las cosas bien para una, casi siempre las hace bien para la otra. Una operación seria atiende ambas sin tratarlas como cargas separadas, porque en el fondo persiguen lo mismo desde ángulos distintos: comunicarse solo con quien quiere ser comunicado, de forma respetuosa.
Preguntas frecuentes
¿Qué es la Ley 81 de 2019 de Panamá?
Es la legislación panameña sobre protección de datos personales. Establece los principios y obligaciones para el tratamiento de datos, reconoce los derechos de los titulares (acceso, rectificación, cancelación, oposición y portabilidad) y designa a la ANTAI como autoridad de control. Aplica a toda comunicación comercial en Panamá, incluyendo email marketing, SMS y WhatsApp.
¿La Ley 81 exige consentimiento para enviar email marketing?
Sí. Exige consentimiento del titular para el tratamiento de sus datos con fines de comunicación comercial. El consentimiento debe ser informado: la persona debe saber quién recolecta sus datos, para qué, y cómo ejercer sus derechos. Un consentimiento documentado y verificable es la base para enviar comunicaciones de forma legal en Panamá.
¿Quién es la autoridad que aplica la Ley 81?
La ANTAI (Autoridad Nacional de Transparencia y Acceso a la Información). Recibe denuncias de titulares, investiga el tratamiento de datos y puede imponer sanciones a responsables y encargados que incumplan la normativa. Ha mostrado disposición a actuar, no solo a advertir, lo que hace del cumplimiento un asunto operativo real.
¿Cuál es la diferencia entre responsable y encargado del tratamiento?
El responsable decide para qué y cómo se usan los datos, normalmente la empresa dueña de la base. El encargado trata los datos por cuenta del responsable, como un proveedor de email marketing. En esa relación, el cliente es el responsable y el proveedor el encargado, regulados por un acuerdo escrito que define responsabilidades, seguridad, retención y borrado de los datos.
¿Qué pasa si incumplo la Ley 81 en mis campañas?
Puede derivar en denuncias ante la ANTAI por parte de titulares afectados, investigación y sanciones administrativas. Más allá de la sanción formal, el tratamiento sin consentimiento adecuado suele coincidir con altas tasas de queja que dañan la reputación de envío y la entregabilidad, un costo técnico que llega antes que el legal. Cumplir la ley y enviar bien técnicamente se refuerzan: el consentimiento que pide la norma es lo que sostiene la reputación de envío.
¿Puedo usar una base de datos que compré o heredé de otra empresa?
Es muy problemático. El consentimiento que las personas dieron a otra empresa, para otra finalidad, no se transfiere automáticamente a usted para enviarles marketing. Usar una base comprada o heredada sin consentimiento propio choca con el principio de finalidad y con la exigencia de consentimiento. Operativamente, además, esas bases generan tasas de queja altas que destruyen la reputación de envío. No lo recomendamos en ningún caso.
¿Necesito una política de privacidad para hacer email marketing?
Sí, es una pieza básica del cumplimiento. La política de privacidad informa a las personas qué datos se recolectan, con qué finalidad, por cuánto tiempo, con quién se comparten y cómo ejercer sus derechos. Debe ser accesible y estar enlazada en los puntos donde se captan datos, como formularios de suscripción. Es parte de lo que hace que el consentimiento sea verdaderamente informado.
Este documento es una lectura operativa de la norma desde la práctica del marketing digital, no asesoría legal. El texto oficial de la Ley 81 de 2019 y su reglamentación prevalecen. Para decisiones con implicaciones jurídicas, consulte a un abogado especializado en protección de datos. Los términos técnicos mencionados están explicados en nuestro glosario.